<span style="color:rgb(51,102,255)">Hi Friends,</span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">    I have  few queries on IKEv1 and IKEv2 behavior in Openswan for NAT-T. It would he great, if you experts</span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">help me out.</span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Please find the queries below</span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><b style="color:rgb(51,102,255)"><br>PC---------DSL_Modem------------Internet--------VPN_Server(Openswan).<br></b><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)"> </span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Let us take IKEv1 first. Let us assume Mobike support is not available.</span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">In this scenario, PC is using RemoteAccessClient (Say Cisco VPN Client) and establishing a VPN connection with VPN_Server.</span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Assume
 NAT_T support is available in the VPN Client. i.e.PC will start using 
port 4500 after the first packet is exchanged and ack is received from 
VPN_Server (i.e.from 3rd packet in the flow).</span><br style="color:rgb(51,102,255)">
<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">The DSL_Modem will do NAT and let us assume that the global IP address used by DSL Modem is “g1”.</span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)">

<span style="color:rgb(51,102,255)">Once if the connection is 
established, the VPN is logically established between PC and VPN_Server.
 The DSL_Modem has no role in VPN connection except the fact that the IP
 address seen by VPN_Server is given by DSL_Modem.</span><br style="color:rgb(51,102,255)">
<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Now, Assume that the VPN Peer dead detection timeout is too huge.</span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Now,
 if the link between DSL_Modem and service provider is flapping and if 
DSL_Modem gets a new IP address say “g100” before DeadPeerDetection and 
assume that DSL_Modem would have cleared the old NAT table (since the 
old entries were using the old IP address “g1”).</span><br style="color:rgb(51,102,255)">
<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)"> </span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Will this result in VPN disconnect?</span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Or, as per the IKEv1 RFC2409, and as per NAT_T RFCs (RFC3497 and RFC3498), what is the expected behavior? Should it disconnect?</span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)"> </span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Moving to IKEv2, what is the expected behavior? Please note that MOBIKE support is not there.</span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">In
 RFC4306, section2.23 (NAT Traversal), says “In this case, this end 
should allow dynamic update of the other ends IP address, as described 
later.”</span><br style="color:rgb(51,102,255)">
<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Does
 this mean that the dynamic update of the other ends IP address should 
happen in VPN_Server without affecting the connection? FYI, we are not 
able to understand which section is being referred by the phrase “as 
described later” given in the above RFC statement.</span><br style="color:rgb(51,102,255)">
<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Any clue?</span><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Regards,</span><br style="color:rgb(51,102,255)">

<br style="color:rgb(51,102,255)"><span style="color:rgb(51,102,255)">Saravanan N</span>